Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 844 845 846 847 848 849 850 851 852 853 854 ... 1784 След.
Еще раз здравствуйте
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 13:27:08
да, это все удалите,
перегрузите систему, и добавьте новый образ автозапуска
+ логи выполнения скрипта в uVS
+ лог сканирование в ESET NOD32 только оперативной памяти.
---------
если оказывается что это лечение, как мертвому припарка, значит по другому будем лечить систему.
[ Как создать образ автозапуска? ]
Перейти
Еще раз здравствуйте
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 13:17:48
это называется "менять позицию"  :) .
стойкий у вас попался доркбот. возможно придется зачищать с загрузочного диска.
жду результат как всегда.
лог выполнения скрипта в uVS, и скан в ESET NOD32 оперативной памяти.
Изменено: santy - 02.08.2013 13:19:04
[ Как создать образ автозапуска? ]
Перейти
Еще раз здравствуйте
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 12:57:49
бесконечная борьба с доркботом продолжается  :)

возможно с флэшки заражается система.

обратите внимание, что start.exe должен запуститься с правами администратора.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\3748.EXE
addsgn 9252623A156AC1CCE0BB514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 kasper_vir_tim

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81540\SXSHIN.EXE
bl 736A998C7F85FE024EF905E6C0A1617E 27776
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81540\SXSHIN.EXE
delall %SystemDrive%\USERS\111\APPDATA\ROAMING\3748.EXE
addsgn 1A7C419A5583C58CF42BC4B19BDD4E95658A3F099C9A8F388501C1BCDB2924C7CFE8B65FC160259B6B807B8A228609FA820FB5B051DA1198FF37A4EC4CF9748C 8 Backdoor.Win32.Androm.ahpn [Kaspersky]

zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR
bl BF195E7541B5C9BB3C70D88565B0ACB0 121344
adddir %SystemDrive%\USERS\111\APPDATA\ROAMING
delall %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR

;------------------------autoscript---------------------------

chklst
delvir

REGT 5

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
выполните быстрое сканирование в Malwarebytes
Изменено: santy - 02.08.2013 12:59:13
[ Как создать образ автозапуска? ]
Перейти
Вирус в оперативной памяти, который не может быть удален.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 12:53:20
удалите найденное в АдвКлинере по кнопке delete
автоперезагрузка,

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 08:41:32
Цитата
g0dl1ke пишет:
возможна эта новость покажется интересной:  http://www.comss.info/page.php?al=ZeroAccess

осталось раздобыть семпл и посмотреть, как поведет себя uvs

интересно!
[ Как создать образ автозапуска? ]
Перейти
Перенос настроек nod32, Как перенести настройки на другую систему в другом ноуте
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 07:38:41
сделайте экспорт настроек в файл *.xml из интерфейса антивируса

затем на другой машине, после установке антивируса можно выполнить импорт настроек из сохраненного файла.
[ Как создать образ автозапуска? ]
Перейти
Проблемы с зеркалом, Не обновляются базы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 05:37:12
зеркало какое поднимаете? http или локальную папку?
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 05:33:02
удалите все найденное в малваребайт

перегрузите систему,

далее,

выполните проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2013 21:39:38
может недостаточно прав было у uVS? и start надо запускать от администратора?
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2013 21:25:26
что-то я впервые сталкиваюсь с детальной расшифровкой выгрузки процессов

Завершение процессов...
Цитата
(!) Обнаружены защищенные процессы (!)
Активирую ASA...
C:\USERS\111\APPDATA\ROAMING\A9C7.EXE
Первый этап прошел успешно (1059 циклов)
Второй этап провалился
--------------------------------------------------------
C:\USERS\111\APPDATA\ROAMING\B8B6.EXE
Первый этап провалился
--------------------------------------------------------
Активирую IJ...
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Ошибка выделения памяти: [Отказано в доступе. ]
Не удалось выгрузить C:\USERS\111\APPDATA\ROAMING\A9C7.EXE [pid=300]
Успешно выгружен C:\USERS\111\APPDATA\ROAMING\A9C7.EXE [pid=828]
Успешно выгружен C:\USERS\111\APPDATA\ROAMING\B8B6.EXE [pid=1144]
Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=2680]
Не удалось выгрузить C:\USERS\111\APPDATA\ROAMING\B8B6.EXE [pid=2908]
Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=2996]
Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=3068]
C:\USERS\111\APPDATA\ROAMING\A9C7.EXE будет удален после перезагрузки
C:\USERS\111\APPDATA\ROAMING\B8B6.EXE будет удален после перезагрузки
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 844 845 846 847 848 849 850 851 852 853 854 ... 1784 След.